Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\innoguard.url
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\spirit
- %TEMP%\also
- %TEMP%\swing
- %TEMP%\solution
- %TEMP%\milfs
- %TEMP%\examining
- %TEMP%\html
- %TEMP%\29411\knows.pif
- %TEMP%\29411\u
- %LOCALAPPDATA%\guardinno dynamics\p
- %LOCALAPPDATA%\guardinno dynamics\innoguard.scr
- %LOCALAPPDATA%\guardinno dynamics\innoguard.js
- %TEMP%\29411\regasm.exe
Удаляет следующие файлы
- %TEMP%\29411\u
Перемещает следующие файлы
- %TEMP%\solution в %TEMP%\solution.bat
Сетевая активность
UDP
- DNS ASK mD##############ANdVndFPkugX.mDCHAPlWPMqeAfJtANdVndFPkugX
Другое
Создает и запускает на исполнение
- '%TEMP%\29411\knows.pif' u
- '%TEMP%\29411\regasm.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c move Solution Solution.bat & Solution.bat (со скрытым окном)
- '%WINDIR%\syswow64\tasklist.exe'
- '%WINDIR%\syswow64\findstr.exe' /I "wrsa opssvc"
- '%WINDIR%\syswow64\findstr.exe' -I "avastui avgui bdservicehost nswscsvc sophoshealth"
- '%WINDIR%\syswow64\cmd.exe' /c md 29411
- '%WINDIR%\syswow64\findstr.exe' /V "DylanRadarCordlessIdentifies" Swing
- '%WINDIR%\syswow64\cmd.exe' /c copy /b ..\Html + ..\Milfs + ..\Examining + ..\Spirit u
- '%WINDIR%\syswow64\choice.exe' /d y /t 5
- '%WINDIR%\syswow64\cmd.exe' /k echo [InternetShortcut] > "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\InnoGuard.url" & echo URL="%LOCALAPPDATA%\GuardInno Dynamics\InnoGuard.js" >> "%APPDATA%\Microsoft\Windows\...
